網站攻擊事件頻傳唯有仰賴WAF設備杜絕漏洞攻擊

2014 / 10 / 31

編輯部

在駭客大量發動以獲取最大經濟利益的惡意攻擊，在網路購物盛行的現今，許多電子商務網站都成為經濟犯罪組織的首要目標，因此利用WAF保護網站正常運作已經成為刻不容緩的工作。

IMPERVA台灣區業務副總經理韓明皓表示:「經過長達10年的市場教育，資安人員都知道WAF的重要性，只是並不瞭解專業WAF與一般WAF模組的差異，才會因為購買到不適用的產品，以致於還是發生被駭客入侵的事件。相較之下，IMPREVA WAF解決方案是專為物理及虛擬資料中心設計，是全球少數具備完整Web網站保護功能的產品。」

網站開發極為複雜只能仰賴WAF杜絕漏洞攻擊

韓明皓指出，軟體開發過程中勢必會存在許多無法預防的漏洞，尤其市面上知名網站建置軟體並不多，只要一有軟體漏洞被發現，駭客便會在軟體廠商發佈修復程式之前，搶先立刻以零時差攻擊入侵網站，也就是以合法管道掩飾非法行為，讓企業即便已建置好健全的資安防護機制，也無法杜絕入侵行為發生。

其次，一個電子商務網站的架構非常複雜，光是一個簡單購物或會員登入功能，就得需要數百行、千行程式所組成，即便程式開發人員知道有漏洞產生，恐怕也無力在高達數萬行的程式中，找到設計瑕疵並且加以修補，即便順利修補完畢，也難保沒有其他潛在的漏洞。在衡量成本與效率之下，以WAF來保護應用程式安全，自然是最有效、快速的方法。

正因為如此，Gartner才會在2014年2月28日公布一份Web應用防火牆(WAF)值得企業投資的報告，指出對於大部分公共網站、內部關鍵業務以及自訂的Web應用而言，一般防火牆和入侵防禦系統所提供的保護並不足夠，因此需要WAF協助企業的自訂Web應用防禦網路攻擊。

韓明皓指出，多數企業在導入WAF過程中，最擔心網路架構需要大幅調整，以及發生資安威脅誤判的狀況，除會導致資訊人員工作量暴增之外，也擔心一旦發生真正的入侵事件時，會因此遭受負責資安維運的人員忽略。而IMPREVA WAF具備佈署容易、內建Bypass功能、智能化的動態建模功能、攻擊特徵碼最為豐富，提供客製化特徵碼服務、整合最多黑箱掃描工具，以及內建強大報表功能等，可以提供企業網站全方位的資安防護需求。